Part 1 - 原理介绍
一. 前言
通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行802.1X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。
通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。
二. VLAN配置下发简介
本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。
- 授权ACL分为两类:
- ACL描述信息:服务器上配置了ACL描述信息授权功能,则授权信息中含有ACL的描述信息。设备端根据服务器授权的ACL描述信息匹配上相应的ACL规则,对用户权限进行控制。其中设备上需要配置ACL编号、对应的描述信息和ACL规则。使用RADIUS标准属性:(011)Filter-Id。
Radius协议支持携带多种属性值,例如“User-Name”和“User-Password”“Service-Type”等属性,用来扩展和兼容不同厂家基于Radius的服务
- 动态ACL:服务器向设备授权该ACL中的规则,用户能够访问ACL所包括的网络资源,ACL及ACL规则需要在服务器上配置。设备上不需要配置对应的ACL。使用华为RADIUS私有属性:(26-82)HW-Data-Filter。
- 动态VLAN:
- 服务器上配置了动态VLAN下发功能,则授权信息中含有下发的VLAN属性,设备端在接收到下发的VLAN属性后,会将用户所属的VLAN修改为下发VLAN。
授权下发的VLAN并不改变接口的配置,也不影响接口的配置。但是,授权下发的VLAN的优先级高于用户配置的VLAN,即通过认证后起作用的VLAN是授权下发的VLAN,用户配置的VLAN在用户下线后生效。
- 动态VLAN下发,使用了以下RADIUS标准属性:
- (064)Tunnel-Type(必须指定为VLAN,或数值13,表示VLAN协议。)
- (065)Tunnel-Medium-Type(必须指定为802,或数值6,表示以太类型.)
- (081)Tunnel-Private-Group-ID(目前通过该属性下发用户VLAN,对于V200R012C00之前版本的设备,可以是VLAN ID或VLAN描述。对于V200R012C00及之后版本设备,可以是VLAN ID、VLAN描述、VLAN名称或VLAN Pool,)
要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值.
Part 2 - 实验配置
一. 实验拓扑
二. 组网需求
如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
终端认证成功前能够访问公共服务器(IP地址为192.168.40.1),执行下载802.1X客户端或更新病毒库的操作。
终端认证成功后能够访问业务服务器(IP地址为192.168.50.1)和实验室内的设备(所属VLAN号为20,IP地址段为192.168.20.10–192.168.20.100)。
三. 配置逻辑
华为交换机的配置逻辑如下图所示.
【表1】 思科ISE的配置逻辑
| 配置项 | 说明 |
|---|---|
| 添加部门及用户账号 | - |
| 添加交换机 | 指定允许与ISE对接的交换机的相关参数。 |
| (可选)创建认证协议模板 | 指定用户进行802.1X认证可以使用的认证协议。如果未创建新的认证协议模板,则使用ISE默认的“Default Network Access”模板。 |
| 创建认证策略 | 指定用户通过802.1X认证需要满足的条件。 |
| (可选)创建授权策略 | 指定用户通过802.1X认证后允许访问的资源。如果未创建授权策略,则允许用户访问所有其路由可达的资源。 |
四. 实验设备及注意事项
本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为2.1,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:
支持通过RADIUS标准属性和华为RADIUS私有属性实现授权,不支持通过Cisco私有属性授权。使用华为私有属性授权时,需要在Cisco ISE服务器上手动添加私有属性值。
通过ACL描述信息授权ACL时,在Cisco ISE勾选Filter-ID、添加描述信息abc后,如果添加描述信息abc的会话框后带有.in后缀,则交换机设备需要将该ACL的描述信息配置为abc.in。
动态ACL授权使用的是华为私有属性HW-Data-Filter授权,不支持通过Cisco私有属性授权。
在Cisco ISE上添加华为私有属性HW-Data-Filter后,在授权模板中既存在Filter-ID又存在HW-Data-Filter时,只能下发Filter-ID,不能下发HW-Data-Filter。
通过ACL描述信息授权ACL时,由于Cisco ISE支持配置的描述信息长度最大为252个字节、设备支持配置的描述信息长度最大为127个字节,所以两端配置的描述信息不能超过127个字节。
通过VLAN描述信息授权动态VLAN时,由于Cisco ISE支持配置的描述信息长度最大为32个字节、设备支持配置的描述信息长度最大为80个字节,所以两端配置的描述信息不能超过32个字节。
五. 数据规划
【表2】 接入交换机业务数据规划
| 项目 | 数据 |
|---|---|
| RADIUS方案 | 认证服务器IP地址:192.168.30.1认证服务器端口号:1812计费服务器IP地址:192.168.30.1 计费服务器端口号:1813 RADIUS服务器共享密钥:Helperaddress@123认证域:ha |
| 认证成功前可访问的资源 | 公共服务器的访问权限通过免认证规则设置 |
| 认证成功后可访问的资源 | 实验室的访问权限通过动态VLAN授权,VLAN号为:20业务服务器的访问权限通过ACL号授权,ACL号为:3002,描述信息为3002.in |
【表3】Cisco ISE服务器业务数据规划
| 项目 | 数据 |
|---|---|
| 部门 | 研发部 |
| 接入用户 | 用户名:A-123 密码:Helperaddress |
| 交换机IP地址 | SwitchA:10.10.10.1 |
| RADIUS认证密钥 | Helperaddress@123 |
| RADIUS计费密钥 | Helperaddress@123 |
六. 配置步骤
Step 1 - 配置接入交换机SwitchA。
- 创建VLAN并配置接口允许通过的VLAN,保证网络通畅。
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20
[SwitchA] interface gigabitethernet 1/0/1 //配置与员工终端连接的接口
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid
[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 10
[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2 //配置与实验室连接的接口
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid
[SwitchA-GigabitEthernet1/0/2] port hybrid untagged vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3 //配置与SwitchB连接的接口
[SwitchA-GigabitEthernet1/0/3] port link-type trunk
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface loopback 1
[SwitchA-LoopBack1] ip address 10.10.10.1 24 //配置与Cisco ISE服务器通信的IP地址
[SwitchA-LoopBack1] quit
- 配置认证成功后的授权参数ACL3002。
[SwitchA] acl 3002
[SwitchA-acl-adv-3002] description 3002.in //配置ACL描述信息为3002.in;此时,Cisco ISE服务器设置的Filter-ID为3002
[SwitchA-acl-adv-3002] rule 1 permit ip destination 192.168.30.1 0
[SwitchA-acl-adv-3002] rule 2 permit ip destination 192.168.50.1 0
[SwitchA-acl-adv-3002] rule 3 deny ip destination any
[SwitchA-acl-adv-3002] quit
- 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
- 创建并配置RADIUS服务器模板“rd1”。
[SwitchA] radius-server template rd1
[SwitchA-radius-rd1] radius-server authentication 192.168.30.1 1812
[SwitchA-radius-rd1] radius-server accounting 192.168.30.1 1813
[SwitchA-radius-rd1] radius-server shared-key cipher Helperaddress@123
[SwitchA-radius-rd1] quit
- 创建AAA认证方案“abc”并配置认证方式为RADIUS。
[SwitchA] aaa
[SwitchA-aaa] authentication-scheme abc
[SwitchA-aaa-authen-abc] authentication-mode radius
[SwitchA-aaa-authen-abc] quit
- 配置计费方案“acco1”并配置计费方式为RADIUS。
[SwitchA-aaa] accounting-scheme acco1
[SwitchA-aaa-accounting-acco1] accounting-mode radius
[SwitchA-aaa-accounting-acco1] quit
- 创建认证域“ha”,并在其上绑定AAA认证方案“abc”、计费方案“acco1”与RADIUS服务器模板“rd1”。
[SwitchA-aaa] domain ha
[SwitchA-aaa-domain-ha] authentication-scheme abc
[SwitchA-aaa-domain-ha] accounting-scheme acco1
[SwitchA-aaa-domain-ha] radius-server rd1
[SwitchA-aaa-domain-ha] quit
[SwitchA-aaa] quit
- 使能802.1X认证。
- 将NAC配置模式切换成统一模式。
[SwitchA] authentication unified-mode
设备默认为统一模式。模式切换前,管理员必须保存配置;模式切换后,设备重启,新配置模式的各项功能才能生效。
- 配置802.1X接入模板“d1”,并指定认证协议为EAP。
[SwitchA] dot1x-access-profile name d1
[SwitchA-dot1x-access-profile-d1] dot1x authentication-method eap
[SwitchA-dot1x-access-profile-d1] quit
- 配置免认证规则模板“default_free_rule”。
[SwitchA] free-rule-template name default_free_rule
[SwitchA-free-rule-default_free_rule] free-rule 10 destination ip 192.168.40.1 mask 32
[SwitchA-free-rule-default_free_rule] quit
- 配置认证模板“p1”,并在其上绑定802.1X接入模板“d1”、绑定免认证规则模板“default_free_rule”、指定认证模板下用户的强制认证域为“ha”。
[SwitchA] authentication-profile name p1
[SwitchA-authen-profile-p1] dot1x-access-profile d1
[SwitchA-authen-profile-p1] free-rule-template default_free_rule
[SwitchA-authen-profile-p1] access-domain ha force
[SwitchA-authen-profile-p1] quit
- 在接口GE1/0/1上绑定认证模板“p1”,使能802.1X认证。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] authentication-profile p1
[SwitchA-GigabitEthernet1/0/1] quit
Step 2 - Cisco ISE 服务器侧配置
- 登陆ISE
打开Internet Explorer浏览器,在地址栏输入ISE的访问地址,单击“Enter”。输入ISE管理员账号和密码登录ISE。
- 创建用户组和用户。
- 选择“Administration > Identity Management > Groups”。在右侧操作区域内选择“Add”,创建用户组“R&D”。
- 选择“Administration > Identity Management > Identities”。在右侧操作区域内点击“Add”,创建用户名为“A-123”、密 码为“Helperaddress”的用户,并将该用户添加到用户组“R&D”。
- 在Cisco ISE服务器中添加交换机设备,以便Cisco ISE服务器能与交换机正常联动。选择“Administration > Network Resources > Network Devices”。在右侧操作区域内点击“Add”,进入“New Network Device”页面,在该页面添加网络接入设备并设置设备的连接参数。
【表4】
| 参数 | 取值 | 说明 |
|---|---|---|
| Name | SwitchA | - |
| IP Address | 10.10.10.1/32 | 交换机上该接口必须与Cisco ISE服务器互通。 |
| Shared Secret | Helperaddress@123 | 与交换机上配置的对研发部员工的访问控制规则一致。 |
- 配置使用的密码认证协议。
选择“Policy > Policy Elements > Result”。在左侧操作区域内选择“Authentication > Allowed Protocols”,进入“Allowed Protocols Services”界面。在右侧操作区域内点击“Add”,创建新的网络接入方式,选择允许使用的密码认证协议。
交换机与Cisco ISE服务器对接时,支持EAP、PAP和CHAP三种认证方式。交换机配置为EAP认证方式与Cisco ISE服务器对接时,不支持EAP-LEAP和EAP-FAST两种模式。
- 配置认证策略。
选择“Policy > Authentication”。认证策略分为“Simple”和“Rule-Based”两种,与“Simple”方式相比,“Rule-Based”方式可以匹配多个网络接入方式(即“Allowed Protocol”)。这里以“Simple”为例。在“Network Access Service”下拉框中选择上步新建的网络接入方式“802.1X”,其他选择默认配置。
- 配置授权策略。
- 新增授权规则。
选择“Policy > Authorization”。点击右方“Edit”后的三角形,选择“Insert New Rule Above”,新增名称为“Authorization rule for authenticated users”的授权规则、授权的用户组为“R&D”。
- 添加访问权限。
在“Permissions”列,点击“Add New Standard Profile”,进入“Add New Standard Profile”页面。
在“Add New Standard Profile”页面,设置访问权限。
【表5】
| 参数 | 取值 | 说明 |
|---|---|---|
| Name | VLAN20&ACL3002 | - |
| Access Type | ACCESS_ACCEPT | 认证成功的访问权限。 |
| Common Tasks | Helperaddress@123 | VLAN:授权的VLAN编号或VLAN描述信息。Filter-ID:授权的ACL描述信息。 |
- 检查配置结果.
- 员工在没有认证的情况下只能访问Cisco ISE服务器和公共服务器。
- 员工认证通过后,能够访问Cisco ISE服务器、公共服务器、业务服务器和实验室。
- 认证通过后,在交换机上执行命令display access-user,可以看到员工的在线信息。
